aur*_*amo 17 java static-analysis coverity-prevent
我想得到那些使用或评估Coverity静态分析Java代码的人的意见.我知道它在C/C++世界很受欢迎,但是值得花钱进行Java分析还是我最好用PMD,Findbugs和其他开源工具?
小智 15
如果你今天没有使用任何东西,我会从Findbugs和PMD开始.它们易于安装和使用.首先专注于使用Findbugs检查和修复正确性错误 - 他们建议从高级和中级严重性正确性错误开始,因为检查器的误报率非常低,您将获得良好的回报.让开发人员使用PMD来清理代码,并使用Eclipse中的Findbugs插件来查看新代码.逐步工作将使开发人员了解并购买这些工具的有用性.
与他们的C/C++检查器相比,Coverity的Java检查器仍然很弱.我们使用Findbugs,PMD,Coverity和Klocwork,因为他们都有不同的优势,我们是偏执狂.如果你不是偏执狂,你可以坚持使用开源工具并获得很多价值.或者,如果您需要安全检查:那么Klocwork或特别是Fortify应该为您做更彻底的工作.
我将提供一些相关的答案。我已将 Klocwork 用于 Java 和 C 代码。Klocwork 是 Coverity 的紧密竞争对手……在成本方面,它们大致相同(仔细看,Klocwork 看起来更便宜,直到您真正购买所需的东西),而在功能方面,它们来来回回。
对于 C/C++ 来说,这非常棒。对于 Java.... 嗯,它帮助发现了很多资源泄漏(#$@^#ing Java 开发人员似乎忘记了文件句柄等资源不会被垃圾收集),但它似乎并没有发现很多“严重的”错误。这可能是因为语言本身确实有助于防止一些更基本但难以发现的错误(数组溢出、指针损坏等)。
让 Coverity 来运行演示,他们非常乐意这样做。看看他们发现了什么样的东西。
| 归档时间: |
|
| 查看次数: |
12585 次 |
| 最近记录: |